基本情報技術者試験「アクセス権管理」の問題
M社では、人事システムが部署や職位の変更を毎日反映している一方、業務システム側のアクセス権は申請ベースで付与され、変更時に削除する仕組みがない。その結果、複数部署を渡り歩いた社員が過去のすべての部署のデータを閲覧できる状態が常態化している。この状況を是正する運用上の対策として、最も適切なものはどれか。
ア付与申請に上長の承認を必須化し、申請段階での権限の妥当性審査を厳格にする。
イシステム管理者が業務の中で不要と感じた権限を、その都度判断して削除していく。
ウ最新の職務情報と現在の付与権限を周期的に照合し、職務と食い違う分を洗い出す。
エ全社員のアクセスログを収集し、長期間使われていない権限を一覧にまとめて報告する。
正解
ウ.最新の職務情報と現在の付与権限を周期的に照合し、職務と食い違う分を洗い出す。
本状況の核心は『付与はされるが変更時に削除されず権限が累積する』点である。人事情報という権威ある最新の職務情報と各システムの実際の権限を定期的に突合(棚卸し)し、現職務に合致しない権限を見直せば、既に累積した不要権限を網羅的に発見し是正できる。原因に直接対応している。
?選択肢ごとの解説
ア ×申請段階の承認厳格化は今後の過剰付与を絞る入口対策であり、既に累積した既存の不要権限は一つも減らせない。
イ ×管理者が業務の中で気づいた都度の削除は属人的で網羅性がなく、見落としが避けられないため累積権限の確実な解消にならない。
ウ ○本状況の核心は『付与はされるが変更時に削除されず権限が累積する』点である。人事情報という権威ある最新の職務情報と各システムの実際の権限を定期的に突合(棚卸し)し、現職務に合致しない権限を見直せば、既に累積した不要権限を網羅的に発見し是正できる。原因に直接対応している。
エ ×未使用権限の一覧化は現状把握には役立つが、洗い出し後の見直し・削除という是正行為に踏み込まないため状態は変わらない。
✎くわしく
アクセス権管理は付与・変更・削除のライフサイクルを通じて整合を保つ必要がある。本問は変更・削除の欠落により権限が単調増加する典型である。最新の信頼できる職務情報源(人事システム)を基準に定期突合する棚卸しが、属人性を排した網羅的是正の要諦となる。
✓本番での押さえどころ
試験のコツ
『権限が累積・残存している』が論点なら、定期棚卸し(最新の職務情報との突合と見直し)が正解。申請時審査の強化は既存分に効かない。
覚え方
権限は『入れたら定期的に在庫確認』。買い物の入口を絞るだけでなく、棚の中身を定期的に整理する。
よくある誤り
入口の承認強化(ア)で十分と考えてしまうが、入口対策は将来の流入を絞るだけで、既に溜まった不要権限という在庫は減らせない点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0025